030 88 70 23 80 kanzlei@ra-juedemann.de

EuGH soll datenschutzrechtliche Verantwortlichkeit für die beim Aufruf einer Facebook-Fanpage erhobenen Nutzerdaten klären

Das Bun­des­ver­wal­tungs­ge­richt in Leip­zig hat in einem Ver­fah­ren, in dem es um die Be­an­stan­dung des Be­triebs einer Face­book-Fan­page sei­tens der pri­vat­recht­lich or­ga­ni­sier­ten Wirt­schafts­aka­de­mie Schles­wig-Hol­stein durch die Da­ten­schutz­auf­sichts­be­hör­de geht, den Ge­richts­hof der Eu­ro­päi­schen Union (EuGH) an­ge­ru­fen. Die dem EuGH zur Vor­ab­ent­schei­dung vor­ge­leg­ten Fra­gen be­tref­fen die Aus­le­gung der Richt­li­nie 95/46/EG zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und zum frei­en Da­ten­ver­kehr (Da­ten­schutz­richt­li­nie). Diese dient u.a. dazu, im Be­reich der Eu­ro­päi­schen Union ein gleich­wer­ti­ges Schutz­ni­veau hin­sicht­lich der Rech­te und Frei­hei­ten von Per­so­nen bei der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten zu ge­währ­leis­ten.

Die Klä­ge­rin des Aus­gangs­ver­fah­rens ist eine Trä­ge­rin der be­ruf­li­chen Aus- und Wei­ter­bil­dung, die neben einer ei­ge­nen Home­page eine sog. Fan­page bei Face­book un­ter­hält. Das be­klag­te Un­ab­hän­gi­ge Lan­des­zen­trum für Da­ten­schutz (ULD) hat im No­vem­ber 2011 ge­gen­über der Klä­ge­rin die De­ak­ti­vie­rung die­ser Fan­page an­ge­ord­net. Die Nut­zungs­da­ten der Be­su­cher wür­den von Face­book über ein „Coo­kie“ bei einem Auf­ruf der Fan­page er­ho­ben. Sie wür­den von Face­book u.a. für Zwe­cke der Wer­bung sowie für eine auch der Klä­ge­rin be­reit­ge­stell­te Nut­zer­sta­tis­tik ge­nutzt, ohne dass die Nut­zer hier­über hin­rei­chend auf­ge­klärt wür­den und in diese Nut­zung ein­ge­wil­ligt hät­ten. Das Ver­wal­tungs­ge­richt hat der Klage statt­ge­ge­ben. Das Ober­ver­wal­tungs­ge­richt hat die Be­ru­fung zu­rück­ge­wie­sen, weil es das in § 38 Abs. 5 BDSG vor­ge­se­he­ne ge­stuf­te Ver­fah­ren nicht ein­ge­hal­ten habe. Die Klä­ge­rin sei als Fan­page­be­trei­be­rin auch nicht i.S.v. § 3 Abs. 7 BDSG/Art. 2 d) RL 95/46/EG ver­ant­wort­li­che Stel­le im Hin­blick auf die von Face­book er­ho­be­nen Daten.

Der 1. Re­vi­si­ons­se­nat des Bun­des­ver­wal­tungs­ge­richts hat eine Vor­la­ge an den EuGH be­schlos­sen. Nach sei­ner Auf­fas­sung wer­fen u.a. die Reich­wei­te der Prüf- und Hand­lungs­be­fug­nis­se des ULD sowie die Frage, ob die Klä­ge­rin als Fan­page­be­trei­be­rin eine da­ten­schutz­recht­li­che Ver­ant­wort­lich­keit für die Aus­wahl des Be­trei­bers ihrer In­ter­ne­tre­prä­sen­tanz und des­sen da­ten­schutz­rechts­kon­for­men Um­gang mit per­so­nen­be­zo­ge­nen Daten trifft, uni­ons­recht­li­che Zwei­fels­fra­gen in Bezug auf die Richt­li­nie 95/46/EG auf. Dabei hat es – wie das OVG – keine Be­ur­tei­lung der Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch Face­book vor­ge­nom­men.

Hier­zu hat der Senat dem EuGH fol­gen­de Fra­gen zur Vor­ab­ent­schei­dung gemäß Art. 267 AEUV vor­ge­legt:

1. Ist Art. 2 Buchst. d) RL 95/46/EG dahin aus­zu­le­gen, dass er Haf­tung und Ver­ant­wort­lich­keit für Da­ten­schutz­ver­stö­ße ab­schlie­ßend und er­schöp­fend re­gelt oder ver­bleibt im Rah­men der „ge­eig­ne­ten Maß­nah­men“ nach Art. 24 RL 95/46/EG und der „wirk­sa­men Ein­griffs­be­fug­nis­se“ nach Art. 28 Abs. 3 Spie­gel­strich 2 RL 95/46/EG in mehr­stu­fi­gen In­for­ma­ti­ons­an­bie­ter­ver­hält­nis­sen Raum für eine Ver­ant­wort­lich­keit einer Stel­le, die nicht i.S.d. Art. 2 Buchst. d) RL 95/46/EG für die Da­ten­ver­ar­bei­tung ver­ant­wort­lich ist, bei der Aus­wahl eines Be­trei­bers für sein In­for­ma­ti­ons­an­ge­bot?

2. Folgt aus der Pflicht der Mit­glied­staa­ten nach Art. 17 Abs. 2 RL 95/46/EG, bei der Da­ten­ver­ar­bei­tung im Auf­trag vor­zu­schrei­ben, dass der für die Ver­ar­bei­tung Ver­ant­wort­li­che einen ‚Auf­trags­ver­ar­bei­ter aus­zu­wäh­len hat, der hin­sicht­lich der für die Ver­ar­bei­tung zu tref­fen­den tech­ni­schen Si­cher­heits­maß­nah­men und or­ga­ni­sa­to­ri­schen Vor­keh­run­gen aus­rei­chend Ge­währ bie­tet‘, im Um­kehr­schluss, dass bei an­de­ren Nut­zungs­ver­hält­nis­sen, die nicht mit einer Da­ten­ver­ar­bei­tung im Auf­trag i.S.d. Art. 2 Buchst. e) RL 95/46/EG ver­bun­den sind, keine Pflicht zur sorg­fäl­ti­gen Aus­wahl be­steht und auch nach na­tio­na­lem Recht nicht be­grün­det wer­den kann?

3. Ist in Fäl­len, in denen ein au­ßer­halb der Eu­ro­päi­schen Union an­säs­si­ger Mut­ter­kon­zern in ver­schie­de­nen Mit­glied­staa­ten recht­lich selb­stän­di­ge Nie­der­las­sun­gen (Toch­ter­ge­sell­schaf­ten) un­ter­hält, nach Art. 4, Art. 28 Abs. 6 RL 95/46/EG die Kon­troll­stel­le eines Mit­glied­staa­tes (hier: Deutsch­land) zur Aus­übung der nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen Be­fug­nis­se gegen die im ei­ge­nen Ho­heits­ge­biet ge­le­ge­ne Nie­der­las­sung auch dann be­fugt, wenn diese Nie­der­las­sung al­lein für die För­de­rung des Ver­kaufs von Wer­bung und sons­ti­ge Mar­ke­ting­maß­nah­men mit Aus­rich­tung auf die Ein­woh­ner die­ses Mit­glied­staa­tes zu­stän­dig ist, wäh­rend der in einem an­de­ren Mit­glied­staat (hier: Ir­land) ge­le­ge­nen selb­stän­di­gen Nie­der­las­sung (Toch­ter­ge­sell­schaft) nach der kon­zern­in­ter­nen Auf­ga­ben­ver­tei­lung die aus­schließ­li­che Ver­ant­wor­tung für die Er­he­bung und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im ge­sam­ten Ge­biet der Eu­ro­päi­schen Union und damit auch in dem an­de­ren Mit­glied­staat (hier: Deutsch­land) ob­liegt, wenn tat­säch­lich die Ent­schei­dung über die Da­ten­ver­ar­bei­tung durch den Mut­ter­kon­zern ge­trof­fen wird?

4. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen der für die Ver­ar­bei­tung Ver­ant­wort­li­che eine Nie­der­las­sung im Ho­heits­ge­biet eines Mit­glied­staa­tes (hier: Ir­land) be­sitzt und eine wei­te­re, recht­lich selb­stän­di­ge Nie­der­las­sung in dem Ho­heits­ge­biet eines an­de­ren Mit­glied­staa­tes (hier: Deutsch­land) be­steht, die u.a. für den Ver­kauf von Wer­be­flä­chen zu­stän­dig ist und deren Tä­tig­keit auf die Ein­woh­ner die­ses Staa­tes aus­ge­rich­tet ist, die in die­sem an­de­ren Mit­glied­staat (hier: Deutsch­land) zu­stän­di­ge Kon­troll­stel­le Maß­nah­men und An­ord­nun­gen zur Durch­set­zung des Da­ten­schutz­rechts auch gegen die nach der kon­zern­in­ter­nen Auf­ga­ben- und Ver­ant­wor­tungs­ver­tei­lung für die Da­ten­ver­ar­bei­tung nicht ver­ant­wort­li­che wei­te­re Nie­der­las­sung (hier: in Deutsch­land) rich­ten kann oder sind Maß­nah­men und An­ord­nun­gen dann nur durch die Kon­troll­be­hör­de des Mit­glied­staa­tes (hier: Ir­land) mög­lich, in des­sen Ho­heits­ge­biet die kon­zern­in­tern ver­ant­wort­li­che Stel­le ihren Sitz hat?

5. Sind Art. 4 Abs. 1 Buchst. a), Art. 28 Abs. 3 und 6 RL 95/46/EG dahin aus­zu­le­gen, dass in Fäl­len, in denen die Kon­troll­be­hör­de eines Mit­glied­staa­tes (hier: Deutsch­land) eine in ihrem Ho­heits­ge­biet tä­ti­ge Per­son oder Stel­le nach Art. 28 Abs. 3 RL 95/46/EG wegen der nicht sorg­fäl­ti­gen Aus­wahl eines in den Da­ten­ver­ar­bei­tungs­pro­zess ein­ge­bun­de­nen Drit­ten (hier: Face­book) in An­spruch nimmt, weil die­ser Drit­te gegen Da­ten­schutz­recht ver­sto­ße, die tätig wer­den­de Kon­troll­be­hör­de (hier: Deutsch­land) an die da­ten­schutz­recht­li­che Be­ur­tei­lung der Kon­troll­be­hör­de des an­de­ren Mit­glied­staa­tes, in dem der für die Da­ten­ver­ar­bei­tung ver­ant­wort­li­che Drit­te seine Nie­der­las­sung hat (hier: Ir­land), in dem Sinne ge­bun­den ist, dass sie keine hier­von ab­wei­chen­de recht­li­che Be­ur­tei­lung vor­neh­men darf, oder darf die tätig wer­den­de Kon­troll­stel­le (hier: Deutsch­land) die Recht­mä­ßig­keit der Da­ten­ver­ar­bei­tung durch den in einem an­de­ren Mit­glied­staat (hier: Ir­land) nie­der­ge­las­se­nen Drit­ten als Vor­fra­ge des ei­ge­nen Tä­tig­wer­dens selb­stän­dig auf seine Recht­mä­ßig­keit prü­fen?

6. So­weit der tätig wer­den­den Kon­troll­stel­le (hier: Deutsch­land) eine selb­stän­di­ge Über­prü­fung er­öff­net ist: Ist Art. 28 Abs. 6 Satz 2 RL 95/46/EG dahin aus­zu­le­gen, dass diese Kon­troll­stel­le die ihr nach Art. 28 Abs. 3 RL 95/46/EG über­tra­ge­nen wirk­sa­men Ein­wir­kungs­be­fug­nis­se gegen eine in ihrem Ho­heits­ge­biet nie­der­ge­las­se­ne Per­son oder Stel­le wegen der Mit­ver­ant­wor­tung für die Da­ten­schutz­ver­stö­ße des in einem an­de­ren Mit­glied­staat nie­der­ge­las­se­nen Drit­ten nur und erst dann aus­üben darf, wenn sie zuvor die Kon­troll­stel­le die­ses an­de­ren Mit­glied­staa­tes (hier: Ir­land) um die Aus­übung ihrer Be­fug­nis­se er­sucht hat?

Bis zur Ent­schei­dung des Ge­richts­hofs hat das BVerwG das Re­vi­si­ons­ver­fah­ren aus­ge­setzt.

BVerwG 1 C 28.14 – Be­schluss vom 25. Fe­bru­ar 2016 Quelle: Pressemeldung des BVerwG